PayPal corre per chiudere una falla

Gli esperti di Netcraft hanno scoperto una falla nel celebre sistema di pagamento online: un problema che esponeva gli utenti a truffe e sottrazione di dati personali da parte di terzi

New York (USA) – I laboratori di sicurezza Netcraft hanno scoperto quella che ritengono essere una grave falla di sicurezza nel sito ufficiale di PayPal , il sistema di gestione pagamenti online di proprietà del gruppo eBay .

Un malintenzionato avrebbe potuto sfruttare questa vulnerabilità per condurre un attacco di tipo cross-scripting , una tecnica molto utilizzata nel cosiddetto phishing : i visitatori del sito pensano di essere sulla pagina originale del servizio ed invece vengono dirottati su uno “specchietto per allodole” ricreato ad arte.

“La truffa su PayPal.com era molto accurata e convincente”, dicono i portavoce di Netcraft: “La vittima viene invitata a visitare la URL di una pagina ospitata sul sito di PayPal, completamente genuina e quindi dotata delle varie icone che avvertono della presenza di crittografia SSL ed ogni altro tipo di rassicurazione”. Il malcapitato a questo punto è sicuro di trovarsi su un sito autorizzato e protetto: i truffatori, sfruttando la vulnerabilità ed usando la tecnica del cross-scripting, possono modificare i contenuti della pagina visualizzata e gabbare il visitatore.

A questo punto, la truffa procedeva come qualsiasi altro episodio “classico” di phishing: “La pagina modificata dai truffatori avverte il visitatore che il suo account PayPal è stato compromesso”, dice Paul Mutton di Netcraft. La vittima veniva quindi rediretta su un server sudcoreano , dove inseriva i propri dati personali su una pagina progettata ad arte per somigliare a quella di PayPal. “Il dominio PayPal.com ed il certificato SSL che l’utente ha visto pochi minuti prima sono del tutto autentici”, spiega Mutton, “per quale motivo un utente dovrebbe credere d’essere reindirizzato su un sito fraudolento?”.

La falla è stata scoperta due giorni fa e i responsabili di PayPal hanno già risolto il problema. Ma non sanno, almeno per il momento, quante persone sono cadute nella truffa. “Non appena abbiamo saputo del problema, ci siamo attivati per modificare il nostro sito e renderlo sicuro”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Installare...
    Capisco che sia più potente di dello stesso strumento costruito da Google (e meno di Excel di MS)... ma mi aspettavo di non dover installare nulla per poterlo utilizzare, dall'articolo sembrava bastasse il browser. Inutile dire che altra fuffa non ho intenzione di installarla a cuor leggero sul mio già oberato laptop.
    • Anonimo scrive:
      Re: Installare...
      ehm... a parte che non è fuffa, è un programma facilmente rimovibile...l'installazione serve per la parte server!i client accedono via browser
      • misterz scrive:
        Re: Installare...
        - Scritto da:
        ehm... a parte che non è fuffa, è un programma
        facilmente
        rimovibile...

        l'installazione serve per la parte server!
        i client accedono via browserDiglielo che non è un consiglio e che...DEVE INSTALLARLO SUBITO, ADESSO!!!(linux)
  • misterz scrive:
    Semplicemente FANTASTICO!
    Non ci sono le Parole, davvero.Standing Ovation.(linux)
    • Anonimo scrive:
      Re: Semplicemente FANTASTICO!
      Non ci sono parole anche perchè dall'articolo non si capisce a cacchio serva ! Max
      • Anonimo scrive:
        Re: Semplicemente FANTASTICO!
        Io non sono l'autore del post precedente ma un software del genere può essere utile in diversi scenari. Per esempio tutti quei problemi che somigliano alla creazione e analisi di budget in tempo reale. Anche per diversi sistemi di analisi e simulazione potrebbe andare bene.Qualche giorno fa ho postato di scenari simili sul prossimo Excel Server e la piattaforma HPC di Windows. Molti hanno lanciato strali. Immagino che ora vada tutto bene, visto che la soluzione è open source.Comunque la notizia è vecchia di mesi.
        • Anonimo scrive:
          Re: Semplicemente FANTASTICO!

          Qualche giorno fa ho postato di scenari simili
          sul prossimo Excel Server e la piattaforma HPC di
          Windows. Molti hanno lanciato strali. Immagino
          che ora vada tutto bene, visto che la soluzione è
          open
          source.Link al tuo post, grazie
Chiudi i commenti